Se gestisci un sito WordPress con l'estensione Utenti finali plugin installato, assicurati di averlo aggiornato all'ultima versione.
Durante il fine settimana, il creatore del plugin ha pubblicato la versione 2.6.7, che dovrebbe riparare una grave falla di sicurezza, descritta dall'utente @softwaregeek sul sito di supporto di WordPress come segue:
Una vulnerabilità critica nel plugin (CVE-2023-3460) consente a un utente malintenzionato non autenticato di registrarsi come amministratore e assumere il pieno controllo del sito web. Il problema si verifica con il modulo di registrazione del plugin. In questa maschera sembra possibile modificare alcuni valori per l'account da registrare. Questo include il
wp_capabilities
valore, che determina il ruolo dell'utente sul sito web.Il plugin non consente agli utenti di inserire questo valore, ma questo filtro risulta essere facile da bypassare, rendendo possibile la modifica
wp_capabilities
e diventa amministratore.
In altre parole, durante la creazione o la gestione dei propri account online, il modulo Web lato client presentato agli utenti non consente loro ufficialmente di dotarsi di superpoteri.
Ma il software di back-end non rileva e blocca in modo affidabile gli utenti non autorizzati che inviano deliberatamente richieste improprie.
Il plugin promette "facilità assoluta"
I Software membro definitivo ha lo scopo di aiutare i siti WordPress a offrire vari livelli di accesso utente, elencandosi come "miglior profilo utente e plug-in di appartenenza per WordPress", e parlando di se stesso nel suo trafiletto pubblicitario come:
Il plug-in di appartenenza e profilo utente numero 1 per WordPress. Il plugin rende un gioco da ragazzi per gli utenti registrarsi e diventare membri del tuo sito web. Il plug-in ti consente di aggiungere bellissimi profili utente al tuo sito ed è perfetto per creare comunità online avanzate e siti di appartenenza. Leggero e altamente estendibile, Ultimate Member ti consentirà di creare quasi ogni tipo di sito in cui gli utenti possono iscriversi e diventare membri con assoluta facilità.
Sfortunatamente, i programmatori non sembrano molto fiduciosi nella propria capacità di abbinare la "facilità assoluta" dell'uso del plugin con una forte sicurezza.
In un risposta ufficiale al suddetto rapporto sulla sicurezza di @softwaregeek, la società ha descritto il suo processo di correzione dei bug in questo modo [testo citato sic]:
Stiamo lavorando alle correzioni relative a questa vulnerabilità dalla versione 2.6.3 quando riceviamo un rapporto da uno dei nostri clienti. Le versioni 2.6.4, 2.6.5, 2.6.6 chiudono parzialmente questa vulnerabilità ma stiamo ancora lavorando insieme al team WPScan per ottenere il miglior risultato. Riceviamo anche il loro rapporto con tutti i dettagli necessari.
Tutte le versioni precedenti sono vulnerabili, quindi ti consigliamo vivamente di aggiornare i tuoi siti Web alla 2.6.6 e di mantenere gli aggiornamenti in futuro per ottenere i recenti miglioramenti della sicurezza e delle funzionalità.
Attualmente stiamo lavorando per risolvere un problema rimanente e rilasceremo un ulteriore aggiornamento il prima possibile.
Bug in molti posti
Se eri in servizio di sicurezza informatica durante il famigerato Vulnerabilità Log4Shell durante le festività natalizie alla fine del 2021, saprai che alcuni tipi di bug di programmazione finiscono per richiedere patch che necessitano di patch e così via.
Ad esempio, se hai un overflow del buffer in un singolo punto del tuo codice in cui hai inavvertitamente riservato 28 byte di memoria ma intendevi digitare 128 per tutto il tempo, correggere quel numero errato sarebbe sufficiente per correggere il bug in una volta sola.
Ora, tuttavia, immagina che il bug non fosse dovuto a un errore di battitura in un solo punto del codice, ma che fosse causato dal presupposto che 28 byte fosse la giusta dimensione del buffer in ogni momento e in ogni luogo.
Tu e il tuo team di codifica potreste aver ripetuto il bug in altri punti del vostro software, quindi dovete accontentarvi di una sessione estesa di ricerca di bug.
In questo modo, puoi distribuire tempestivamente e in modo proattivo ulteriori patch se trovi altri bug causati dallo stesso errore o da un errore simile. (I bug sono generalmente più facili da trovare una volta che sai cosa cercare in primo luogo.)
Nel caso Log4J, gli aggressori hanno anche iniziato a setacciare il codice, sperando di trovare errori di codifica correlati altrove nel codice prima che lo facessero i programmatori Log4J.
Fortunatamente, il team di programmazione Log4J non solo rivisto il proprio codice per correggere i bug correlati in modo proattivo, ma ha anche tenuto gli occhi aperti per nuovi exploit proof-of-concept.
Alcune nuove vulnerabilità sono state rivelate pubblicamente da entusiasti cacciatori di bug che apparentemente preferivano la fama istantanea di Internet alla forma più sobria di riconoscimento ritardato che avrebbero ottenuto dalla divulgazione del bug in modo responsabile ai programmatori di Log4J.
Abbiamo visto una situazione simile nella recente vulnerabilità di command injection di MOVEit, in cui i membri della banda di ransomware Clop hanno trovato e sfruttato un bug del giorno zero nel front-end basato sul Web di MOVEit, consentendo ai truffatori di rubare dati aziendali sensibili e quindi tentare di ricattare le vittime affinché paghino "soldi silenziosi".
Progress Software, creatori di MOVEit, ha rapidamente corretto lo zero-day, quindi ha pubblicato un file seconda patch dopo aver trovato bug correlati in una propria sessione di caccia ai bug, solo per pubblicare una terza patch poco dopo, quando un sedicente cacciatore di minacce ha trovato un altro buco che Progress aveva perso.
Purtroppo, quel "ricercatore" ha deciso di rivendicare il merito di aver trovato la vulnerabilità pubblicandola per chiunque e tutti da vedere, piuttosto che concedere a Progress un giorno o due per occuparsene prima.
Ciò ha costretto Progress a dichiarare che si trattava di un altro giorno zero e ha costretto i clienti Progress a disattivare completamente la parte difettosa del software per circa 24 ore mentre un è stata creata la patch e testato.
In questa Utenti finali situazione di bug, i creatori del plugin non sono stati così premurosi come i creatori di MOVEit, che hanno consigliato esplicitamente ai propri clienti di smettere di usare il software mentre quel nuovo e sfruttabile buco veniva riparato.
I membri Ultimate hanno semplicemente consigliato ai propri utenti di tenere gli occhi aperti per gli aggiornamenti in corso, di cui il 2.6.7 recentemente pubblicato è il quarto di una catena di correzioni di bug per un problema notato per la prima volta a metà giugno 2023, quando 2.6.3 era il numero di versione corrente.
Cosa fare?
- Se sei un utente UltimateMember, patch urgentemente. Dato il modo frammentario in cui il team di codifica del plug-in sembra affrontare questo problema, assicurati di cercare aggiornamenti futuri e di applicarli il prima possibile.
- Se sei un programmatore lato server, dai sempre per scontato il peggio. Non fare mai affidamento sul codice lato client che non puoi controllare, come HTML o JavaScript che viene eseguito nel browser dell'utente, per garantire che i dati di input inviati siano sicuri. Convalida i tuoi input, come ci piace dire su Naked Security. Misura sempre, non assumere mai.
- Se sei un programmatore, cerca ampiamente i problemi correlati quando viene segnalato un bug. Gli errori di codifica commessi in un punto da un programmatore potrebbero essere stati duplicati altrove, sia dallo stesso programmatore che lavorava su altre parti del progetto, sia da altri programmatori che "apprendevano" cattive abitudini o seguivano con fiducia presupposti di progettazione errati.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- :È
- :non
- :Dove
- $ SU
- 1
- 15%
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- capacità
- Chi siamo
- sopra
- Assoluta
- accesso
- Il mio account
- conti
- aggiungere
- indirizzamento
- Admin
- Avanzate
- Pubblicità
- Dopo shavasana, sedersi in silenzio; saluti;
- dopo
- Tutti
- consentire
- Consentire
- consente
- lungo
- anche
- sempre
- an
- ed
- Un altro
- in qualsiasi
- appare
- APPLICA
- SONO
- AS
- assumere
- assunzione
- At
- autore
- auto
- Back-end
- background-image
- Vasca
- BE
- bellissimo
- diventare
- stato
- prima
- MIGLIORE
- Ricatto
- Bloccare
- sistema
- Parte inferiore
- brezza
- in linea di massima
- del browser
- bufferizzare
- buffer overflow
- Insetto
- caccia agli insetti
- bug
- ma
- by
- Materiale
- Custodie
- ha causato
- centro
- certo
- catena
- il cambiamento
- Natale
- rivendicare
- Chiudi
- codice
- coder
- codifica
- colore
- Comunità
- azienda
- fiducioso
- di controllo
- coprire
- creare
- Creazione
- Creatore
- credito
- critico
- Corrente
- Attualmente
- cliente
- Clienti
- Cybersecurity
- dati
- giorno
- affare
- deciso
- Ritardato
- descritta
- Design
- dettagli
- determina
- DID
- Divulgazione
- Dsiplay
- do
- non
- Dont
- giù
- durante
- Presto
- alleviare
- più facile
- facile
- o
- altrove
- enable
- fine
- miglioramenti
- abbastanza
- garantire
- entrare
- interamente
- errori
- tutti
- esempio
- Exploited
- gesta
- Occhi
- FAME
- caratteristica
- filtro
- Trovare
- ricerca
- Nome
- Fissare
- i seguenti
- Nel
- modulo
- essere trovato
- Quarto
- da
- anteriore
- Fine frontale
- pieno
- ulteriormente
- futuro
- banda
- generalmente
- ottenere
- ottenere
- dato
- Dare
- Go
- ha avuto
- Avere
- altezza
- Aiuto
- vivamente
- Foro
- sperando
- ORE
- librarsi
- Tuttavia
- HTML
- HTTPS
- cacciatore
- if
- immagine
- in
- inclusi
- infame
- ingresso
- installato
- immediato
- Internet
- ai miglioramenti
- problema
- sicurezza
- IT
- SUO
- stessa
- JavaScript
- join
- giugno
- ad appena
- solo uno
- mantenere
- tenere
- Sapere
- con i più recenti
- a sinistra
- Consente di
- livelli
- leggero
- piace
- annuncio
- log4j
- Guarda
- fatto
- make
- Makers
- FA
- Fare
- gestione
- molti
- Margine
- partita
- max-width
- Maggio..
- significava
- misurare
- membro
- Utenti
- iscrizione
- Memorie
- semplicemente
- In mezzo
- forza
- perse
- errore
- errori
- Scopri di più
- Sicurezza nuda
- necessaria
- Bisogno
- che necessitano di
- mai
- New
- normale
- numero
- of
- MENO
- offrire
- Ufficialmente
- on
- una volta
- ONE
- in corso
- online
- comunità online
- esclusivamente
- or
- Altro
- nostro
- su
- ancora
- proprio
- parte
- Ricambi
- Toppa
- Patch
- Paul
- pagamento
- perfetta
- posto
- Partner
- Platone
- Platone Data Intelligence
- PlatoneDati
- plug-in
- punto
- posizione
- possibile
- Post
- preferito
- presentata
- precedente
- Problema
- processi
- Profilo
- Profili
- Programmatore
- I programmatori
- Programmazione
- Progressi
- progetto
- promette
- pubblicamente
- pubblicare
- pubblicato
- editoriale
- Spingi
- rapidamente
- ransomware
- piuttosto
- recente
- recentemente
- riconoscimento
- raccomandare
- registro
- registrato
- Iscrizione
- relazionato
- parente
- rilasciare
- fare affidamento
- rimanente
- ripetuto
- rapporto
- Segnalati
- richieste
- riservato
- colpevole
- destra
- Ruolo
- Correre
- corre
- sicura
- stesso
- sega
- dire
- Cerca
- Stagione
- problemi di
- sembrare
- delicata
- grave
- Sessione
- set
- risolvere
- In breve
- simile
- da
- singolo
- site
- Siti
- situazione
- Taglia
- So
- sobrio
- Software
- solido
- alcuni
- presto
- Ancora
- Fermare
- forte
- inviare
- presentata
- tale
- supporto
- suppone
- sicuro
- SVG
- Fai
- parlando
- team
- testato
- di
- che
- I
- Il futuro
- loro
- Li
- si
- poi
- di
- Terza
- questo
- minaccia
- volte
- a
- insieme
- pure
- top
- transizione
- trasparente
- prova
- TURNO
- si
- seconda
- Digitare
- Tipi di
- ultimo
- Aggiornanento
- aggiornato
- Aggiornamenti
- upgrade
- URL
- uso
- Utente
- utenti
- utilizzando
- vacanza
- APPREZZIAMO
- Valori
- vario
- versione
- vittime
- vulnerabilità
- vulnerabilità
- Vulnerabile
- Prima
- Modo..
- we
- sito web
- Web-basata
- Sito web
- siti web
- fine settimana
- sono stati
- Che
- quando
- quale
- while
- OMS
- larghezza
- volere
- con
- WordPress
- WordPress Plugin
- parole
- lavoro
- Salsiccia di assorbimento
- sarebbe
- ancora
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro